5.10.2009 von dr-exchange.

Die Hoffung, dass jeder Exchange Administrator seine Umgebung vorschriftsmäßig sichert, bleibt in aller Regel erfüllt. Zu wichtig sind die Daten der E-Mailpostfächer für ein Unternehmen. In diesem Workshop stellen wir uns aber mal eine andere Situation vor, nämlich dass zwar die Exchange Datenbanken sauber und erfolgreich gesichert worden sind, aber - aus welchen Gründen auch immer – die Situation eintritt, dass das Active Directory mit allen Benutzerkonten „verloren“ ging. Das kann nicht sein sagen Sie? Oh doch, auch das durfte ich in meiner langjährigen Tätigkeit tatsächlich schon mehrfach erleben, - leider.

Wie auch immer, dieser Beitrag zeigt auf, wie man aus einer Postfachdatenbank eines Exchange Server 2003 die zu den Postfächern gehörenden Benutzerkonten restaurieren kann, um nicht alle Konten von Hand neu anlegen zu müssen. Sicher wären die folgenden Schritte auch ein Weg für eine Umgebung mit wenigen Benutzern/Postfächern.

• Active Directory neu aufsetzen und Konten neu anlegen
• Exchange Server neu installieren
• Postfachspeicher-Datenbank aus Sicherung einspielen
• Jedes Postfach mit einem Benutzerkonto wiederverbinden

Gehen wir nun aber mal davon aus, dass wir die Benutzerkonten nicht alle kennen und uns die viele Handarbeit schenken wollen. Exchange 2003 speichert zu den Postfächern auch Daten über die zugeordneten Benutzerkonten aus dem AD. Diese Tatsache machen wir uns in diesem Workshop zu Nutze.

Microsoft Support bietet dazu ein Tool, welches bis Exchange 2000 auch auf der CD unter Support\Tools mitgeliefert wurde: Mbconn.exe. Leider wird das Tool nicht mehr mit Exchange 2003 ausgeliefert, obwohl es auch in dieser Version prima funktioniert. Sie können das Tool direkt downloaden:

ftp://ftp.microsoft.com/PSS/Tools/Exchange%20Support%20Tools/MBConn/

Der erste Schritt für die erfolgreiche Wiederherstellung der verwaisten Postfächer ist nun die Postfachdatenbank aus der Datensicherung zurück zu holen und an einem neuen Exchange Server bereit zu stellen.

Hinweis:
Eine Exchange Server Datenbank kann jederzeit an einem anderen Exchange Server bereit gestellt werden, sofern der Name der Organisation und der administrativen Gruppe identisch sind. Sollten Sie nicht oder nicht mehr wissen, wie die genaue Bezeichnung der Exchange Organisation und der entsprechenden administrativen Gruppe war, können Sie das mit dem nachfolgenden Befehl direkt aus der Datenbank extrahieren.

D:\Exchange\MDBData> find “/ou=” priv2.edb

Nun erhalten Sie eine lange Liste der LegacyExchangeDN, aus der Sie eindeutig den Org- und Admingroup-Namen erkennen können. (z.B.)

/o=YOUR-ADMIN/ou=Erste administrative Gruppe/cn=Recipients/cn=Hans.Meier

Mit diesen Angaben können wir nun problemlos im neuen Active Directory eine neue Exchange Organisation sowie Exchange Server installieren, die den Namen entsprechen, die für die zurück zu sichernde Postfach-Datenbank entscheidend sind. Abschließend zeigt  ein Blick mit dem System Manager unter Postfachspeicher – Postfächer – alle Postfächer dieser Datenbank an, natürlich versehen mit dem „roten Kreuz“ für „abgehängtes“ Postfach. (Bild 1)

Diese Daten der abgehängten Benutzer in dem betreffenden Postfachspeicher machen wir uns nun mit Hilfe des Tools „Mbconn.exe“ zu Nutze. Dazu starten wir das Tool und verbinden uns im ersten Dialog mit dem betroffenen Exchange Server und einem erreichbaren Globalen Katalog. (Bild 2)

Im nächsten Schritt wird der betreffende Postfachspeicher ausgewählt: (Bild 3)

Das Tool listet nun alle abgehängten Postfächer dieses Stores auf (Bild 4).  

Über den Menüpunkt ACTIONS – EXPORT USERS erstellen wir im nächsten Schritt eine LDF-Datei, mit dessen Hilfe wir die benötigten Benutzerkonten per LDIFDE im Active Directory anlegen lassen. Dabei muss zwingend eine OU des Active Directories als Ziel für die zu erzeugenden Benutzerkonten angegeben werden. (Bild 5)

Durck Klick auf die Schaltfläche „Generate“ wird im angegebenen Verzeichnis eine LDF-Datei erzeugt, deren Inhalt per Editor bei Bedarf auch noch nachbearbeitet werden kann.

dn: CN=Lindermeier\, Robert,OU=Benutzer,DC=Your-Admin,DC=intern
changetype: add
UserAccountControl: 66048
msExchUserAccountControl: 0
displayName: Lindermeier, Robert
objectclass: user
samAccountName: RLINDERMEIER

Die zuvor angelegte LDF-Datei wird nun als Vorlage für den Benutzerimport verwendet. Der nachfolgende Befehl erzeugt daraufhin in der angegebenen OU die benötigten Konten.

C:\Temp> ldifde -i -f c:\temp\Users-to-recreate.ldf

Hinweis:
Sollte folgender Fehler auftreten:

Fehler in Zeile 1: Ausführung verweigert
Serverseitiger Fehler: “1325″

• Löschen Sie bei dem Benutzerkonto die Zeile UserAccountControl: xxxxx.

Der abschließende Schritt ist nun, die verwaisten Postfächer mit den neu erzeugten Benutzerkonten zu verbinden. Dazu kann das Tool Mbconn.exe verwendet werden. Im Tool Mailbox Reconnect klicken wir im Menü ACTIONS – PREVIEW ALL um für alle Postfächer das zugeordnete Konto zu finden. (Bild 6)

Alle Konten werden nun den Postfächern zugeordnet und im Active Directory wieder verbunden. Dazu wählen wir das Kommando ACTIONS – APPLY. (Bild 7)

Eine abschließende Meldung gibt Aufschluss über den Erfolg der Aktion. Natürlich könnte man auch die Postfächer über den Exchange System Manager einzeln zuordnen, aber das Tool macht die Angelegenheit natürlich einfacher, vor Allem lassen sich damit in einem Zug eine ganze Liste an Postfächern wieder verbinden.

Anmerkung:
Das Tool kann sowohl in Exchange 2000 als auch Exchange 2003 Umgebungen verwendet werden, jedoch nicht mehr unter 2007. Diesen Vorgang beschreibe ich in einem der folgenden Beiträge.

Geschrieben in Sonstiges, Tipps & Tricks 2003, Tipps & Tricks 2000, Allgemein | Drucken | Keine Kommentare »

6.8.2009 von dr-exchange.

Mit Microsoft Outlook können in der Erweiterten Suche mehrere Suchbegriffe eingegeben werden, die jedoch nur mit einem “OR” (logisches ‘ODER’) verknüpft werden. Dies führt oft nicht zum gewünschten Ergebnis, daher wäre eine AND-Verknüpfung  durchaus sinnvoll.

Dies zu realisieren ist über einen Reg-Key möglich:

Hier erstellt man im Pfad HKEY_CURRENT_USER\Software\Microsoft\Office\[Office-Version]\Outlook
den Schlüssel QueryBuilder.

Nun zeigt die Erweiterte Suche den Reiter Abfrage-Generator. Darin ist nun auch eine AND-verknüpfte Suche möglich.

Geschrieben in Tipps & Tricks 2007, Outlook-Client, Tipps & Tricks 2010, Tipps & Tricks 2003, Tipps & Tricks 2000, Tipps & Tricks, Tipps & Tricks 5.5, Allgemein | Drucken | Keine Kommentare »

30.3.2009 von dr-exchange.

Wir alle kennen das Problem, wenn ein Exchange Server installiert wurde und nun die Testphase ansteht. Das MS Exchange-Team hat nun ein Tool dafür geschaffen, welches unter https://www.TestExchangeConnectivity.com verfügbar ist und folgende Optionen für Zugriffs- und Funktionstests bietet:

• Exchange ActiveSync mit Windows Mobile 5
• Exchange ActiveSync mit Windows Mobile 6.x
• Exchange ActiveSync mit 3rd-Party-Geräten (z.B. Nokia Mail for Exchange)
• Outlook Anywhere (RPCoverHTTP) mit Outlook 2003
• Outlook Anywhere (RPCoverHTTP) mit Outlook 2007
• Eingehende SMTP-Nachrichten

Hinweis:
- Benutzung wie immer auf eigene Gefahr
- Das Tool ist noch im Beta-Stadium

Aber äußerst hilfreich

Geschrieben in Outlook-Client, ActiveSync mit Windows Mobile, Sonstiges, Tipps & Tricks 2007, Tipps & Tricks 2003, Tipps & Tricks, Tipps & Tricks 2000, Allgemein | Drucken | Keine Kommentare »

27.3.2009 von dr-exchange.

Die Suche nach dem Verbleib von gesendeten oder empfangenen Nachrichten ist eine der Haupttätigkeiten eines Exchange Administrators. Oftmals wird an den Support die Frage herangetragen, warum eine bestimmte Nachricht nicht eingegangen ist bzw. nicht an den Empfänger weitergeleitet worden ist. Hier muss nun auf die Suche gegangen werden um den Verbleib der Nachricht zweifelsfrei zu klären, und wenn auch nur um den Grund für eine Nichtübermittlung festzustellen und abzustellen.

Dem Exchange Admin stehen hierfür diverse Hilfsmittel zur Verfügung. Zum Einen ist das der Exchange System Manager mit dem integrierten Nachrichten-Tracking-Modul, zum Anderen das ausführlichere Protokoll des SMPT-Servers. Per Default ist dieses jedoch nicht aktiviert und muss speziell angeschaltet werden. Der SMTP-Server unter Exchange Server 2003 – ganz im Gegensatz zum SMTP-Transportstack des Exchange Server 2007 – ist Teil des Windows Servers 2003 und wird im Zuge der Installation von Exchange Server 2003 unter dessen Kontrolle gestellt.

Es gibt Organisationen, die alleinstehende Windows Server 2003 mit eingerichtetem SMTP-Dienst als SMTP-Relay intern oder in der DMZ einsetzen, oftmals mit installiertem Spam- und/oder Antivirenschutz. Für diese Systeme gilt, dass auch darauf das SMTP-Logging zur Analyse des Nachrichtenverkehrs aktiviert werden kann. Allerdings befinden sich hier die Optionen unter dem IIS-Management. Selbstverständlich sei erwähnt, dass auch oftmals andere SMTP-Relays wie Postfix, sendmail, etc. im Einsatz sind. Auch darauf ist in der Regel ein ausführliches SMTP-Logging möglich.

Wie aber wird das SMPT-Logging unter 2003 aktiviert. Dazu beschränken wir uns in diesem Workshop auf den Betrieb eines SMTP-Dienstes unter Exchange Server 2003. Die Aktivierung wird über den Exchange System Manager durchgeführt. Öffnen wir unter ORGANISATION – SERVER – SERVERNAME – PROTOKOLLE – SMTP die Eigenschaften des betreffenden virtuellen SMTP-Servers.

Setzen wir nun das Häkchen neben Protokollierung aktivieren und wählen das Protokollformat „W3C-erweitert“. Dieses Format ermöglicht das Logging aller notwendigen Informationen, die wir später zur Analyse benötigen. Über die EIGENSCHAFTEN definieren wir nun explizit, welche Detailinformationen wir aufgezeichnet haben möchten, in diesem Fall wählen wir Alle.

Nicht zu vernachlässigen sind auch die Optionen Protokollzeitplan und das Verzeichnis des Logs. Sinnvollerweise übernehmen wir die Einstellung „Täglich“ und wählen ein Verzeichnis mit ausreichend Speicherplatz, da die Protokolle je nach Nachrichtenverkehr mehrere MBytes an Größe annehmen können. Über Erweitert wählen wir nun alle gewünschten Eigenschaften, die wir aufgezeichnet haben möchten. Nachdem wir alles bestätigt haben, restarten wir am Besten den gesamten SMTP-Dienst unter Windows um die Protokollierung zu aktivieren.

Nachdem die ersten Nachrichten durch den Server gegangen sind, finden wir im angegebenen Verzeichnis das aktuelle Protokoll und können dieses mit einem beliebigen Text-Editor analysieren. Hier nun ein Beispiel, das über einen gesamten SMTP-Vorgang Auskunft gibt.

2007-05-01 07:19:13 xxx.xxx.xxx.204 mail.domain.com SMTPSVC1 YAEX02 192.168.1.201 0 EHLO - +mail.domain.com 250 0 314 23 297 SMTP - - - -
2007-05-01 07:19:13 xxx.xxx.xxx..204 mail.domain.com SMTPSVC1 YAEX02 192.168.1.201 0 MAIL - +FROM:<mailings@domain.com> 250 0 45 32 0 SMTP - - -
2007-05-01 07:19:13 xxx.xxx.xxx..204 mail.domain.com SMTPSVC1 YAEX02 192.168.1.201 0 RCPT - +TO:<info@your-admin.com> 250 0 0 29 296 SMTP - - - -
2007-05-01 07:19:13 xxx.xxx.xxx..204 mail.domain.com SMTPSVC1 YAEX02 192.168.1.201 0 BDAT - +<4bb61e2469ed4498776856d0e23bc659@daa30085app019> 250 0 87 2545 78 SMTP - - - -
2007-05-01 07:19:14 xxx.xxx.xxx..204 mail.domain.com SMTPSVC1 YAEX02 192.168.1.201 0 QUIT - mail.domain.com 240 1610 68 4 0 SMTP - - - -

Man kann in obigem Auszug deutlich erkennen, dass jeder einzelne Schritt eines SMTP-Eingangs am Server YAEX02 aufgezeichnet worden ist.

Hierbei ist besonders zu beachten, dass Microsoft im Zuge einer globalen Einheitlichkeit der SMTP-Protokolle die Uhrzeit stets in der GMT-Zeit protokolliert, erst der System Manager „übersetzt“ diese normalerweise in die lokal gültige Zeit.

Sollten nun im Rahmen einer SMTP-Vorganges Fehler auftreten, so sind diese deutlich im Protokoll zu erkennen. Auch diverse Suchen in der Log-Datei bzw. Imports in Programme wie Excel zur weiteren Verarbeitung sind möglich. Wer das Logging an zentralen Verteilpunkten in der Exchange Organisation mit hohem bis sehr hohem SMTP-Aufkommen aktivieren möchte, dem steht auch frei das Logging per ODBC-Schnittstelle direkt in eine SQL-Datenbank zur späteren Auswertung zu ermöglichen. Wählen Sie hierzu lediglich das entsprechende Protokollformat.

Geschrieben in Sonstiges, Tipps & Tricks 2003, Tipps & Tricks 2000, Allgemein | Drucken | Keine Kommentare »

23.2.2009 von dr-exchange.

Der Exchange Server nutzt in allen Versionen sogenannte ESE (Extensible Storage Engine) Datenbanken um Informationen abzuspeichern. Der Aufbau und die Struktur der Exchange Datenbanken hat sich seit der ersten Version 4.0 nur unwesentlich verändert. Mit Einführung von Exchange Server 2000 hat Microsoft der eigentlichen Datenbank mit der Endung EDB einen zusätzlichen Speicher mit der Endung STM, der Streaming „Datenbank“ zur Seite gestellt. Allerdings hat man diese STM-Datenbank in der aktuellen Version Exchange 2007  wieder aufgegeben.

Die Grundtechnologie der Datenbank, die Daten in 4 KB-Blöcken innerhalb der Datenbank abzulegen, führt ähnlich einem Dateisystem unweigerlich im Laufe des Betriebs zu einer Defragmentierung. Je länger die Datenbank in Betrieb ist, desto größer ist also die Wahrscheinlichkeit, dass eigentlich inhaltlich zusammenhängende Datenblöcke nicht mehr optimal hintereinander abgelegt werden können bzw. abgelegt sind. Microsoft hat dieses Problem bereits von Beginn an adressiert und mit der Online-Defragmentierung im Maintenance-Fenster Abhilfe geschaffen (Wartungsintervall).

Allerdings ist eine Online-Defragmentierung eben nicht in der Lage die Datenbankgröße (Dateigröße) zu reduzieren, sondern optimiert lediglich die Anordnung der zusammenhängenden Blöcke innerhalb der Datenbank. Eine Exchange Datenbank kann im laufenden Betrieb solange der Datenträger es hergibt zwar jederzeit wachsen, jedoch ist eine Reduzierung der Dateigröße der Datenbank im laufenden Betrieb unmöglich. Löschen wir nun beispielsweise eine Reihe von Postfächern vollständig von unserem Exchange Server, so wird deren Speicherplatz zwar intern freigegeben, aber die Dateigröße muss „von Hand“ freigegeben werden.

Microsoft stellt hierfür das Tool ESEUTIL zur Verfügung, das bereits mit dem Exchange Server ausgeliefert wird. ESEUTIL stellt eine Reihe von Funktionen, wie Datenbankprüfungen und Datenbankreparatur-Mechanismen, bereit. Wir wollen uns in unserem Workshop lediglich auf die Offline-Defragmentierung konzentrieren.

 ESEUTIL /d <database name> [options]

Die Offline-Defragmentierung setzt voraus, dass zumindest der betroffene Postfachspeicher oder Öffentliche Informationsspeicher nicht bereitgestellt ist. ESEUTIL liest die Datenbank aus und kopiert die Einträge in eine temporäre Datenbank. Abschließend wird die Originaldatenbank gelöscht und durch die temporäre Datenbank ersetzt. In der neuen Datenbank sind alle Einträge optimal geordnet und die Datei belegt auf dem Datenträger nur noch den letztlich notwendigen Speicherplatz. Wir müssen hier nun aber beachten, dass auf jeden Fall genügend freier Platz auf dem Datenträger für die temporäre Datenbank verfügbar sein muss. Daher auch die Empfehlung von uns Profis: „Halten Sie immer mindestens soviel Speicherplatz auf dem Datenträger frei, die der Größe der größten Exchange-Datenbank entspricht“. Ein Puffer sollte selbstverständlich noch eingerechnet werden, damit die Datenbank im Betrieb auch wachsen kann.

Wann ist denn nun eine Offline-Defragmentierung notwendig? Hier ist zum Einen das Beispiel mit der Löschung oder dem Verschieben von Postfächern zu nennen, zum Anderen sollte der Exchange Administrator auch die entsprechenden Hinweise von Exchange selbst beachten. Der Exchange Server meldet nach abgeschlossener Online-Defragmentierung über die Ereignisanzeige (Anwendung) mit der ID 1221 die Größe des freien Speicherbereiches. Damit entscheiden wir selbst, ob und wann der Einsatz von ESEUTIL notwendig wird.

ESEUTIL findet sich in Exchange 2000 und Exchange 2003 im Ordner “[Lw]:\ Exchsrvr/Bin”. Für den Aufruf direkt auf dem Datenträger der Datenbanken ist es sinnvoll, diesen Pfad in die Umgebungsvariable PATH aufzunehmen. Der Aufruf ESEUTIL zeigt die verschiedenen Optionen des Tools an. Um nun z.B. den Standard Privaten Informationsspeicher eines Exchange Servers zu defragmentieren starten wir ESEUTIL mit der Option /D sowie dem zugehörigen Dateinamen der Datenbank direkt aus dem Verzeichnis MDBDATA. Über die Optionen kann auch der direkte Pfad zur Datenbank oder ein anderen Ort für die temporäreren Dateien angegeben werden.

D:\exchsrvr\mdbdata>eseutil /d priv1.edb

Microsoft(R) Exchange Server Database Utilities
Version 6.5
Copyright (C) Microsoft Corporation. All Rights Reserved.

Folgende Fehlermeldung bedeutet, dass die Datenbank noch gemountet ist und daher die Bereitstellung zuvor aufgehoben werden muss.

Error: Access to source database ‘priv1.edb’ failed with Jet error -1032

Auch wenn beim Aufruf nur die Endung EDB angegeben wird, erzeugt das Tool während des Durchlaufes auch eine neue STM-Datei.

Initiating DEFRAGMENTATION mode…
Database: priv1.edb
Streaming File: priv1.STM
Temp. Database: TEMPDFRG6700.EDB
Temp. Streaming File: TEMPDFRG6700.STM

Defragmentation Status (% complete)

0    10   20   30   40   50   60   70   80   90  100
|—-|—-|—-|—-|—-|—-|—-|—-|—-|—-|
………………………………………………………

Moving ‘TEMPDFRG6700.EDB’ to ‘ priv1.edb’… DONE!

Moving ‘TEMPDFRG6700.STM’ to ‘ priv1.stm’… DONE!

Note:
It is recommended that you immediately perform a full backup
of this database. If you restore a backup made before the
defragmentation, the database will be rolled back to the state
it was in at the time of that backup.

Operation completed successfully in 56.125 seconds.

Wie an diesem Beispiel erkennbar, werden wir permanent über den Fortschritt der Operation informiert. Zum Abschluss ersetzen die temporären Dateien die Originaldatenbank und anhand der Dateigrößen können wir den Erfolg messen.

Wo ist das Risiko? Sicherlich stellt sich jeder Administrator diese Frage. Allerdings ist das Risiko bei dieser Vorgehensweise äußerst gering, denn während der Defragmentierung auftretende Fehler führen nicht zum Datenverlust, da die Originaldatenbank bis zum Schluß verfügbar bleibt. Selbstverständlich sollte man stets zuvor eine vollständige Datensicherung durchgeführt haben. Die sprichwörtliche Angst vor solchen, tiefgreifenden Operationen kann dem Administrator natürlich nicht ganz genommen werden, aber wer wie ich bereits solche Aktion zu Hunderten durchgeführt hat, der darf von einer „sicheren“ Aktion sprechen.

Geschrieben in Tipps & Tricks 2003, Tipps & Tricks 2000, Tipps & Tricks, Allgemein | Drucken | Keine Kommentare »

23.12.2008 von dr-exchange.

In letzter Zeit hatte ich vermehrt Anfragen, ob und wie man denn den Cached Mode von Outlook im laufenden Betrieb aktiveren kann. Ja, man kann. Dazu nutzt man am Einfachsten eine Gruppenrichtlinie.

Für diese Policy besorgt man sich am besten aus dem Office Ressource Kit für die jeweilige Outlook-Version die entsprechende Vorlagen-Daten, z.B. Outlk11.adm für Outlook 2003. Nachfolgend beschrieben sind die Einstellungen, die zur Aktivierung des Cached Modes - AUCH in aktiven Umgebungen - führen.

Geschrieben in Outlook-Client, Tipps & Tricks 2007, Tipps & Tricks 2003, Allgemein | Drucken | Keine Kommentare »

23.12.2008 von dr-exchange.

Microsoft Outlook Web Access 2003 (OWA) ist eine mächtige und hilfreiche Schnittstelle für die Postfachdaten auf einem Exchange Server 2003, die ausgehend von einer korrekten Konfiguration der entsprechenden Server (z.B. Zugriff über einen speziellen, in der DMZ implementierten Front-End-Server) Zugriff von jedem Internet-PC auf diesem Globus bietet.

Eben diese Tatsache jedoch macht es unter Umständen sinnvoll bzw. gar notwendig, bestimmte Option von OWA über eine zentrale Konfiguration vorzugeben bzw. zu unterbinden. Hierzu stellt Microsoft mit dem Webverwaltungstool für Outlook Web Access (OWAADMIN) ein hilfreiches Tool bereit, welches >hier< heruntergeladen werden kann: . Ohne den OWAADMIN müssten die Einstellung direkt in der Registrierung des Exchange Servers vorgenommen werden.

Das Tool kann zwar auf einem Windows XP-Rechner ebenso installiert werden, wie auf einem Windows 2000 Server, sollte aber meines Erachtens am Besten auf einem der Exchange 2003 Back-End-Server installiert werden. Setzen Sie für OWA einen Front-End-Server ein, so installieren Sie das Tool NICHT auf dem Front-End-Server, da diese meist in die DMZ konfiguriert und daher WMI-Zugriffe auf die Back-End-Server nicht möglich sind – eine der Voraussetzungen für den korrekten Betrieb des Tools.

Zur Installation muss der Internet Information Server, ASP.Net und das .Net-Framework 1.1 korrekt und lauffähig installiert sein, wobei auf einem Back-End-Exchange Server eben diese Voraussetzungen gegeben sind. Wir laden die OWAAdmin.MSI über den angegebenen Link herunter und starten die Installation.

Der Installationsvorgang an sich ist mit wenigen Klicks erledigt. Das Setup hat nun im IIS unter der Standardwebseite ein Virtuelles Verzeichnis OWAADMIN erstellt, welches für die weitere Konfiguration gestartet werden kann.

Zu beachten ist jedoch, dass OWAADMIN nur über eine SSL-Verbindung benutzt werden kann, da nur hierüber die Authentifizierung und der Remotezugriff auf die Exchange-Server ermöglicht wird. Sollte der Back-End-Server, auf dem Sie OWAADMIN installieren, nicht bereits ein SSL-Zertifikat konfiguriert haben, erstellt das Setup des OWAADMIN automatisch ein Testzertifikat und konfiguriert dieses auch.

Starten wir nun die Konfigurationsoberfläche über https://<Servername>/owaadmin. Die Konfiguration der einzelnen Optionen erweist sich über die Oberfläche des OWAADMIN als relativ simpel, so dass wir in diesem Workshop nur auf die interessantesten Optionen eingehen werden.

Die wichtigste Option ist die Möglichkeit der Anpassung der Outlook Web Access Oberfläche, so dass nur ausgewählte Features in OWA angezeigt werden. Dazu kann über den Abschnitt „Anpassung – Featureunterstützung für den gesamten Server“ definiert werden, welche Komponenten in OWA zur Verfügung gestellt werden sollen (Bild 3).

Damit lässt sich z.B. der Zugriff auf Öffentliche Order über OWA komplett unterbinden, eine nicht zu unterschätzendes Feature in Punkto Sicherheit. Alle eingestellten Optionen stehen sofort beim nächsten Zugriff per OWA zur Verfügung.

Alles in Allem steht dem Exchange Administrator mit OWAADMIN ein mächtiges Werkzeug zur Verfügung, um das Web-Front-End seiner Exchange Organisation nach eigenen Wünschen und Bedürfnissen zu gestalten.

Geschrieben in Sonstiges, Outlook-Client, Tipps & Tricks 2003, Allgemein | Drucken | Keine Kommentare »

23.12.2008 von dr-exchange.

Die Administration der Öffentlichen Ordner in einer Exchange Organisation ist mit dem Exchange System Manager zuweilen eine langwierige Angelegenheit, insbesondere wenn es beispielsweise darum geht Berechtigungen in großen Ordnerstrukturen zu verwalten. Microsoft stellt hierfür mit dem PFDavAdmin-Tool (Public Folder Distributed Authoring and Versioning based Administration) ein passendes Werkzeug zur Verfügung mit dem u.a.  folgende Aufgaben erledigt werden können.

• Verwalten der Ordnerberechtigungen im MAPI-Baum
• Hinzufügen, Ersetzen oder Entfernen von ACEs in einem Öffentlichen Ordner-Baum ohne bestehende ACE-Einträge zu verändern
• Export und Import von Ordner-Berechtigungen und Postfachberechtigungen
• Änderungen an der Replikatsliste ohne bestehende Einträge zu überschreiben
• Prüfen bzw. Entfernen von Berechtigungen auf einzelne Elemente
• Massenänderungen an sonstigen Eigenschaften
• Wiederherstellen gelöschter öffentlicher Ordner

Sie können aber auch direkt Exchange Postfächer verwalten und die Ordnerberechtigungen darin verändern. Beispielsweise sind seit der aktuellen Version 2.6 Massen-Änderungen an den Ordner-Berechtigungen innerhalb von Postfächern möglich. Dies ermöglicht beispielsweise die einheitliche Vergabe von Berechtigungen auf alle Kalender innerhalb des Unternehmens.

Für den Einsatz von PFDAVAdmin gelten folgende Vorraussetzungen:

• .NET Framework 1.1
• Windows 2000 oder höher
• Exchange 2000 oder Exchange 2003

Laden Sie das Tool unter  http://www.microsoft.com/downloads/details.aspx?familyid=635be792-d8ad-49e3-ada4-e2422c0ab424&displaylang=en herunter und entpacken Sie die komprimierte Datei in einem Verzeichnis. Es sind keine weiteren Schritte notwendig, somit starten Sie die Anwendung sofort nach dem Entpacken über PFDAVAdmin.exe.

Im Menü FILE wählen Sie die Option Connect um sich mit dem gewünschten Exchange Server und Globalen Katalog zu verbinden. Im Abschnitt Connection entscheiden Sie, ob Sie Öffentliche Ordner, Alle Postfächer oder ein einzelnes Postfach administrieren möchten.

Folgendes Beispiel soll die Arbeitsweise des intuitiv zu bedienenden Tools aufgezeigt werden. Wir geben mit Hilfe des PFDAVAdmin eine vollständige ACE-Liste an untergeordnete Ordner weiter. Dazu verbinden wir uns mit dem Exchange Server mit der Option „Public Folders“.

Nun wählen wir in der zu bearbeitende Ordnerstruktur den übergeordneten Ordner, dessen ACEs wir nach unten weitergeben wollen. Auf diesem Ordner öffnen wir nun über das Kontextmenü den Menüpunkt „Folder permissions“

um die bestehenden Berechtigungen bzw. ACEs anzupassen. Dies geschieht relativ komfortabel über den angezeigten Dialog.

Nachdem wir nun die Berechtigungen des übergeordneten Folders wie gewünscht „in Form“ gebracht haben, wählen wir über das Kontextmenü (Bild 2) die Option „Propagate folder ACEs) um die Berechtigungen nach unten zu vererben. Dabei können wir auswählen, ob einer oder mehrere ACE-Einträge hinzugefügt oder entfernt werden sollen. In einem Statusfenster können wir die Aktion im Detail verfolgen.

Eine weitere, sehr interessante Funktion ist beispielsweise die Möglichkeit gelöschte Öffentliche Ordner wiederherzustellen. Allerdings sollten Sie dabei beachten, dass dies nur möglich ist, wenn auf dem Öffentlichen Informationsspeicher die entsprechende Option für die Aufbewahrung gelöschter Objekte aktiviert ist.

Der gelöschte Ordner wird dann in rot markiert angezeigt und über das Kontextmenü steht die Option „recover folder“ zur Verfügung. Der Ordner wird wiederhergestellt und trägt den ursprünglichen Namen mit dem Zusatz „RECOVERED“, der selbstverständlich jederzeit wieder umbenannt werden kann.

>Download<

Geschrieben in Tipps & Tricks 2007, Tipps & Tricks 2003, Tipps & Tricks 2000, Tipps & Tricks 5.5, Tipps & Tricks | Drucken | 1 Kommentar »

23.12.2008 von dr-exchange.

Ein Exchange Administrator steht in der Implementierungsphase irgendwann vor der Frage „Funktionieren die Dienste des Exchange Servers korrekt?“. Beispielsweise ist es äußerst wichtig zu prüfen, ob ein SMTP-Dienst auch nicht als Relay durch Spammer missbraucht werden kann.

Nun, dazu einen Standard E-Mail-Client, wie Outlook Express, einzurichten und für diese Tests zu benutzen, ist an sich kein Problem. Es gibt jedoch oft betriebsinterne Vorgaben, dass beispielsweise kein Outlook Express, geschweige denn Outlook 2003, auf Servern installiert werden darf.

Um jedoch einfache Tests mit den Diensten SMTP und POP3 durchzuführen, genügt das Programm TELNET, welches sich vor allem in früheren Jahren großer Beliebtheit erfreute. TELNET erlaubt uns mit bestimmten Ports und dahinter liegenden Diensten eines TCP/IP-basierenden Systems zu kommunizieren und einfache Befehle auf der Kommandozeile an diese Services abzusetzen.

Nachfolgend beschränken wir uns lediglich auf die wichtigsten Kommandos um eine E-Mail per SMTP abzusetzen sowie eine E-Mail per POP3 zu lesen. Dies sollte für den Exchange Administrator völlig ausreichend sein um grundlegende Funktionstests durchzuführen.

Das SMTP-Protokoll benutzt per Default den TCP-Port 25. Daher verbinden wir uns mit nachfolgendem Kommando mit dem SMTP-Dienst eines beliebigen, erreichbaren Servers. Achten Sie bei der Benutzung von TELNET darauf, dass dieses keine BACKSPACE-Taste kennt und daher ein Kommando stets vollständig und korrekt eingegeben werden muss, da der Dienst ansonsten mit einem Fehler „Unrecognized Parameter“ antwortet. In diesem Fall wiederholen Sie einfach die Eingabe.

C:\> telnet <Servername¦ip-Adressen> 25

Das angesprochene System antwortet uns mit seinem Namen:

220 mail.ya.local Microsoft ESMTP MAIL Service, Version: 6.0.3790.18
30 ready at  Wed, 6 Dec 2008 12:11:31 +0100

Der nächste Schritt ist nun, sich selbst gegenüber dem SMTP-Server zu erkennen zu geben, der Server antwortet u.a. mit der Meldung 250 OK und zeigt damit an, dass er bereit ist SMTP-Kommandos entgegen zu nehmen.

ehlo your-admin.com
250- mail.ya.local Hello [192.168.215.1]
250 OK

Nun setzen wir als erstes das Kommando MAIL FROM ab und der Server antwortet bei korrekter Eingabe mit 250 …. Sender OK

mail from: hans@testdom.com
250 2.1.0 hans@testdom.com….Sender OK

An wen soll die Mail gehen? Dies übermitteln wir mit dem Kommando RCPT TO:

rcpt to: info@your-admin.com
550 5.7.1 Unable to relay for info@your-admin.com

Erhalten Sie eine Rückmeldung “5.7.1. Unable to relay…” dann haben Sie die erste Funktionsprüfung bereits erfolgreich abgeschlossen. Der Server ist gegen Relay-Missbrauch geschützt, da er nur E-Mails an eingehenden Domänen akzeptiert. (Die Default-Einstellung bei einem Exchange Server). Andernfalls erhalten wir korrekt die Quittung:

250 2.1.5 info@your-admin.com

Nun beginnen wir mit der Eingabe der eigentlichen E-Maildaten. Dazu bedienen wir uns einleitend des Kommandos DATA, um die Datenübergabe zu starten, des Kommandos SUBJECT: um den Betreff zu kennzeichnen und nach doppelter Zeilenschaltung geben wir den eigentlichen Text der Nachricht ein. Abgeschlossen wird der gesamte Vorgang mit „.“ in einer leeren Zeile, und die Nachricht wird in die ausgehende Warteschlange übergeben.

data
354 Start mail input; end with <CRLF>.<CRLF>
subject: Testmail

Dies ist die Nachricht.
.
250 2.6.0 <MAIL5AUZFwdQ600000001@mail.ya.local> Queued mail for delivery

Die Nachricht wird nun in das betreffende Postfach übermittelt und das Kommando QUIT beendet die Sitzung mit dem SMTP-Server. Ob dies tatsächlich der Wahrheit entspricht können wir über den Exchange System Manager (Warteschlangen) genauso überprüfen, wie mittels eines Blickes in das Postfach selbst.

Dafür benötigen wir aber normalerweise wieder einen E-Mail-Client. Kommandozeilenerprobte Administratoren nutzen auch hierfür wieder das Programm TELNET. Bitte beachten Sie, dass per Default der POP3-Dienst auf einem Exchange Server nicht aktiv ist und daher zuvor gestartet werden sollte. POP3 benutzt per Default den TCP-Port 110 und daher verbinden wir uns mit TELNET auch mit Diesem.

C:\> telnet <Servername¦ip-Adressen> 110

Der Server antwortet wieder mit einer Quittung, dass er bereit ist, Kommandos entgegen zu nehmen:

+OK Microsoft Exchange Server 2003 POP3 server version 6.5.7638.1 (mail.ya.local) ready.

Nun connecten wir uns mit dem gewünschten Postfach durch Angabe des Aliasnamen, der mit dem Loginname in der Domäne übereinstimmen sollte, der POP3-Server quittiert mit +OK

user robert.lindermeier
+OK

Zu jedem Benutzer gehört ein Passwort, welches der Server nun benötigt. Beachten Sie dass das Passwort im Klartext (wie bei jedem POP3-Zugriff über das Netzwerk sonst auch!) angezeigt wird. OK ….logged on, zeigt an, dass wir uns mit dem Postfach verbunden haben.

pass Abc12345
+OK User successfully logged on.

Mit dem Kommando LIST erhalten wir die aktuell im Posteingang befindlichen Nachrichten. Neben OK steht die Anzahl der Nachrichten, die Zahl daneben ist die Größe der E-Mails in Octets.

list
+OK 2 2246
1 1821
2 425
.

Wie aber können wir eine E-Mail lesen? Das Kommando RETR <Nr. der Nachricht> zeigt die Nachricht incl. Header an.

retr 2
+OK
Received: from  ([192.168.215.1]) by mail.ya.local with Microsoft SM
TPSVC(6.0.3790.1830);
Wed, 6 Dec 2006 12:41:19 +0100
subject: Testmail
From: test@tester.com
Bcc:
Return-Path: test@test.com
Message-ID: <MAILN9F4HhMLx00000002@mail.ya.local>
X-OriginalArrivalTime: 06 Dec 2006 11:41:24.0404 (UTC) FILETIME=[7534EF40:01C719
2B]
Date: 6 Dec 2006 12:41:24 +0100

Dies ist die Nachricht.

Mit dem Befehl QUIT beenden wir die Sitzung mit dem POP3-Server. Nachfolgend noch eine Auflistung der weiteren möglichen POP3-Befehle:

TOP <Nr.> <X>    Zeigt von der Nachricht <Nr.> die ersten <X> Zeilen an

DELE <Nr.>    Löscht die angegebene Nachricht <Nr.>
Dabei werden die Nachrichten zuerst nur zum Löschen markiert, erst der Befehl QUIT löscht die Nachrichten endgültig aus dem Posteingang

STAT    Zeigt die Anzahl der aktuell im Posteingang befindlichen Nachrichten

RSET    Alle gelöschten Nachrichten wiederherstellen

QUIT    Beenden der POP3-Sitzung

Geschrieben in Tipps & Tricks 2007, Tipps & Tricks 2003, Tipps & Tricks 2000, Tipps & Tricks 5.5, Tipps & Tricks | Drucken | Keine Kommentare »

7.8.2008 von dr-exchange.

Sicherlich werden Sie sich fragen warum sollte ich den SMTP-Banner eines Exchange Server anpassen? Die Anpassung geschieht grundsätzlich aus Sicherheitsgründen, denn vielfach ist nicht bewusst, welche Auskünfte der Banner eines SMTP-Servers gibt. Damit würden sich beim Betrieb des Exchange Servers direkt am Internet, was durchaus in kleineren IT-Umgebungen nicht unüblich ist - denken wir insbesondere auch den Einsatz von Windows Small Business Server Umgebungen - einem potentiellen Angreifer viele „hilfreiche“ Informationen bieten, damit er seine Attacken gezielt auf die SMTP-Version abstimmen kann. Nicht zuletzt werden diese Daten ja oftmals während der Nachrichtenübermittlung von den sendenden SMTP-Servern in Logdateien gespeichert und lassen sich somit auch im Nachhinein relativ einfach auswerten.

Um dies zu verhindern, sollte eine Anpassung des SMTP-Banners in Betracht gezogen werden. Betrachten wir beispielhaft den Banner eines frisch installierten Exchange 2003 Servers. Zu diesem Zweck verbinden wir uns mit Telnet direkt auf den SMTP-Port 25 des Servers.

C:\> telnet <Servername> 25

Der Server antwortet nun mit folgender Meldung:

220 msxsrv.your-admin.local Microsoft ESMTP MAIL Service, Version: 6.0.3790.1830 ready at  Tue, 08 Aug 2008 13:56:50 +0100

Neben dem Hostnamen, der über die Eigenschaften des virtuellen SMTP-Servers durchaus mit einfachen Mitteln angepasst werden kann, erhalten wir hier die Auskunft, dass es sich beim SMTP-Server um einen Exchange Server 2003 auf Windows Server 2003 handelt. Detaillierte Informationen zu den einzelnen Versionsnummern finden sich für jedermann zugänglich im Internet, so dass wir an dieser Stelle darauf verzichten.

Eine Anpassung des SMTP-Banners direkt auf dem Exchange Server könnte beispielsweise nachfolgendes Ergebnis liefern:

220 mail.your-admin.com YOUR-ADMIN Your Exchange Specialists Tue, 08 Aug 2008 14:29:52 +0100

In diesem Fall liefert der kontaktierte SMTP-Server neben dem Hostnamen nur noch das Datum und die Uhrzeit, sowie einen individuellen Text, der keinerlei Rückschlüsse auf den eigentlichen SMTP-Dienst zulässt. Individuell wurde hier der Text „YOUR-ADMIN Your Exchange Specialists“ eingefügt, der vollständig die „kritischen“ Angaben zur Version und dem Hersteller ersetzt.

Es gibt mehrere gangbare Wege, diesen individuellen Text einem Windows SMTP-Dienst mitzugeben. In unserem Workshop bedienen wir uns eines Werkzeugs aus dem IIS Resource Kit von Microsoft, dem IIS Metabase Explorer. Die Internet Information Services (IIS) Resource Kit Tools stehen direkt im Microsoft Download Center zur Verfügung.

Nach dem Download der Tools installieren Sie sich diese entweder direkt auf dem Exchange Server oder zur Administration eingesetzten Arbeitsstation oder Server. Das Setupprogramm erlaubt außerdem die Auswahl der Komponenten im Detail, so dass Sie auch ausschließlich den IIS Metabase Explorer installieren können.

Starten Sie das Tool aus der Programmgruppe IIS Resources – Metabase Explorer. Der Explorer verbindet sich nun direkt mit der lokalen Metabase des IIS Servers. Sollten Sie das Tool von einer entfernten Arbeitsstation aus starten, haben Sie über den Menüpunkt METABASE – CONNECT die Möglichkeit in nachfolgendem Dialog sich direkt mit dem gewünschten Server und der dortigen Metabase zu verbinden. (Bild 1)

Nach dem erfolgreichen Verbindungsaufbau erhalten Sie eine explorerartige Übersicht der einzelnen Komponenten des verbundenen IIS, darunter findet sich auch der virtuelle Standardserver für SMTP. (Bild 2)

Wählen Sie in der Struktur die Instanz des gewünschten Virtuellen SMTP Servers, nach einer Standardinstallation sollte das die „1“ sein, und finden nun auf der rechten Seite diverse Eigenschaften. Mittels Rechtsklick auf die Instanz nummer „1“ erstellen Sie nun einen neuen String und wählen als Record Name „ConnectResponse“ mit dem Identifier 36907. (Bild 3)

Abschließend tragen Sie das gewünschte SMTP-Banner in das Feld ein. Damit die Anpassung nun wirksam wird, ist ein Neustart des SMTP-Dienstes notwendig. Überprüfen Sie im Anschluss mittels telnet <Servername> 25 das nun individuelle SMTP-Banner.
Hinweis:
Gehen Sie bei Änderungen am SMTP-Server mit Vorsicht vor, ansonsten könnten Sie die Funktion des SMTP-Dienstes in unerwünschtem Maße beinträchtigen.

Geschrieben in Tipps & Tricks 2003, Tipps & Tricks, Allgemein | Drucken | Keine Kommentare »